ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ มัลแวร์ EndRAT

มัลแวร์ EndRAT

โดย Mezo ใน มัลแวร์, ภัยคุกคามขั้นสูงที่คงอยู่ (APT), เครื่องมือการบริหารจัดการระยะไกล
แปลเป็น:

ปฏิบัติการโจมตีทางไซเบอร์ที่ซับซ้อนซึ่งเชื่อว่าเป็นฝีมือของกลุ่มภัยคุกคาม Konni แสดงให้เห็นถึงวิธีการที่วางแผนไว้ล่วงหน้าสำหรับการแทรกซึมในระยะยาว การขโมยข้อมูล และการแพร่กระจายในวงกว้าง หัวใจสำคัญของการปฏิบัติการนี้คือมัลแวร์ EndRAT ซึ่งเป็นโทรจันเข้าถึงระยะไกลที่มีประสิทธิภาพสูง ออกแบบมาเพื่อรักษาการคงอยู่และดึงข้อมูลสำคัญออกมาอย่างเงียบๆ โดยใช้ช่องทางการสื่อสารที่เชื่อถือได้เพื่อขยายขอบเขตการเข้าถึง

จุดเริ่มต้นที่หลอกลวง: กลยุทธ์ฟิชชิ่งแบบเจาะจงเป้าหมายที่ใช้เป็นอาวุธ

การโจมตีเริ่มต้นด้วยอีเมลฟิชชิงแบบเจาะจงเป้าหมายที่ถูกสร้างขึ้นอย่างพิถีพิถัน โดยปลอมแปลงเป็นประกาศอย่างเป็นทางการแต่งตั้งผู้รับเป็นอาจารย์ด้านสิทธิมนุษยชนของเกาหลีเหนือ กลยุทธ์ทางสังคมนี้ออกแบบมาเพื่อใช้ประโยชน์จากความน่าเชื่อถือและความอยากรู้อยากเห็น

เมื่อผู้รับเปิดไฟล์ ZIP ที่แนบมา ไฟล์ทางลัด Windows (LNK) ที่เป็นอันตรายจะถูกเรียกใช้งาน การกระทำนี้จะเริ่มต้นห่วงโซ่การติดเชื้อหลายขั้นตอน:

  • ไฟล์ LNK ดึงข้อมูลเสริมจากเซิร์ฟเวอร์ระยะไกล
  • การรักษาความต่อเนื่องทำได้โดยการกำหนดงานตามตารางเวลา เพื่อให้มั่นใจได้ว่าสามารถเข้าถึงได้ในระยะยาว
  • เอกสาร PDF ปลอมจะปรากฏขึ้นเพื่อเบี่ยงเบนความสนใจของเหยื่อ ในขณะที่กระบวนการที่เป็นอันตรายจะทำงานอยู่เบื้องหลัง

การประนีประนอมในเบื้องต้นนี้ทำให้สามารถติดตั้ง EndRAT ได้โดยไม่ก่อให้เกิดความสงสัยในทันที

EndRAT ปลดปล่อยพลัง: การควบคุมอย่างต่อเนื่องและการขโมยข้อมูล

EndRAT (หรือที่รู้จักกันในชื่อ EndClient RAT) ซึ่งพัฒนาโดยใช้ AutoIt ทำหน้าที่เป็นแกนหลักในการโจมตี เมื่อฝังตัวเข้าไปในระบบแล้ว จะสามารถควบคุมโฮสต์ที่ถูกโจมตีจากระยะไกลได้อย่างสมบูรณ์

ความสามารถหลักของ EndRAT ประกอบด้วย:

  • การเข้าถึงเชลล์ระยะไกลเพื่อเรียกใช้คำสั่ง
  • การแก้ไขระบบไฟล์และการขโมยข้อมูล
  • การถ่ายโอนข้อมูลที่ปลอดภัยระหว่างเหยื่อและผู้โจมตี
  • การรักษาฐานที่มั่นอย่างต่อเนื่องผ่านกลไกการซ่อนเร้น

มัลแวร์สามารถซ่อนตัวอยู่ได้เป็นเวลานาน ทำให้สามารถสอดแนมและดึงเอกสารภายในและข้อมูลสำคัญได้อย่างต่อเนื่อง

การวางกำลังภัยคุกคามแบบหลายชั้น: RAT หลายตัวเพื่อความยืดหยุ่น

จากการวิเคราะห์ทางนิติวิทยาศาสตร์เพิ่มเติมพบว่า EndRAT ไม่ได้ถูกติดตั้งเพียงลำพัง แต่มีส่วนประกอบที่เป็นอันตรายอื่นๆ รวมถึงสคริปต์ที่ใช้ AutoIt ซึ่งเชื่อมโยงกับ RftRAT และ RemcosRAT ถูกนำเข้ามาในสภาพแวดล้อมที่ถูกบุกรุกด้วย

กลยุทธ์การติดตั้งแบบหลายชั้นนี้แสดงให้เห็นว่าเป้าหมายที่มีมูลค่าสูงจะอยู่ภายใต้กลไกการควบคุมที่ซ้ำซ้อน เพื่อให้มั่นใจถึงความต่อเนื่องในการปฏิบัติงาน แม้ว่าจะตรวจพบหรือกำจัดมัลแวร์สายพันธุ์ใดสายพันธุ์หนึ่งไปแล้วก็ตาม การมีตระกูล RAT หลายตระกูลช่วยเพิ่มความสามารถของผู้โจมตีในการรักษาการเข้าถึงและปรับตัวให้เข้ากับมาตรการป้องกันได้อย่างมาก

การใช้ความไว้วางใจเป็นอาวุธ: KakaoTalk เป็นช่องทางในการแพร่กระจายมัลแวร์

ลักษณะเด่นของแคมเปญนี้คือการใช้ประโยชน์จากแอปพลิเคชัน KakaoTalk บนเดสก์ท็อปที่ติดตั้งอยู่ในระบบที่ติดมัลแวร์ โดยการใช้ประโยชน์จากเซสชันผู้ใช้ที่ได้รับการยืนยันตัวตน ผู้โจมตีจะเปลี่ยนเหยื่อให้กลายเป็นผู้เผยแพร่มัลแวร์โดยไม่รู้ตัว

โดยใช้บัญชีที่ถูกแฮ็ก ข้อมูลที่เป็นอันตรายจะถูกส่งต่อไปยังผู้ติดต่อในเครือข่ายของเหยื่ออย่างเลือกสรร ไฟล์เหล่านี้มักถูกปลอมแปลงให้มีลักษณะเกี่ยวข้องกับเกาหลีเหนือ ซึ่งเพิ่มโอกาสในการโต้ตอบและการดำเนินการตามคำสั่ง

กลยุทธ์นี้ใช้ประโยชน์จากความสัมพันธ์ที่สร้างความไว้วางใจกันไว้ ซึ่งช่วยเพิ่มอัตราความสำเร็จในการแพร่เชื้ออย่างมีนัยสำคัญ และช่วยให้สามารถเคลื่อนย้ายไปยังกลุ่มเป้าหมายได้อย่างมีเป้าหมายในเครือข่ายสังคมและวิชาชีพต่างๆ

วิวัฒนาการของกลยุทธ์: จากการใช้ข้อความในทางที่ผิด ไปจนถึงการก่อวินาศกรรมอุปกรณ์

แคมเปญนี้ต่อยอดจากกิจกรรมที่เคยพบเห็นในเดือนพฤศจิกายน 2025 ซึ่งกลุ่มแฮ็กเกอร์กลุ่มเดียวกันนี้ใช้เซสชัน KakaoTalk ในการเผยแพร่ไฟล์ที่เป็นอันตราย ในปฏิบัติการครั้งนั้น ผู้โจมตีได้ใช้ข้อมูลประจำตัว Google ที่ถูกขโมยมาเพื่อเริ่มการลบข้อมูลจากระยะไกลในอุปกรณ์ Android ของเหยื่อด้วย

การใช้งานแพลตฟอร์มส่งข้อความอย่างต่อเนื่องแสดงให้เห็นถึงกลยุทธ์ที่เปลี่ยนแปลงไป โดยมุ่งเน้นไปที่การแฮ็กบัญชีและช่องทางการสื่อสารที่น่าเชื่อถือ มากกว่าเทคนิคการกระจายข้อมูลจำนวนมากแบบดั้งเดิม

การประเมินเชิงกลยุทธ์: แบบจำลองภัยคุกคามที่คงอยู่และปรับตัวได้

ปฏิบัติการนี้เป็นตัวอย่างของกรอบการโจมตีแบบหลายขั้นตอนที่มีการประสานงานอย่างสูง ซึ่งขยายขอบเขตออกไปไกลกว่าการเจาะระบบในขั้นต้น โดยการผสมผสานการโจมตีแบบสเปียร์ฟิชชิ่ง การคงอยู่แบบลับๆ การเข้าถึงระยะไกลขั้นสูงผ่าน EndRAT และการแพร่กระจายตามบัญชีผู้ใช้ ผู้โจมตีสามารถบรรลุทั้งความลึกและความกว้างในกลยุทธ์การบุกรุกของตนได้

การกำหนดเป้าหมายผู้ติดต่ออย่างเจาะจง ควบคู่ไปกับเนื้อหาล่อลวงที่สร้างขึ้นอย่างพิถีพิถัน เน้นย้ำถึงวิธีการที่ตั้งใจและขับเคลื่อนด้วยข่าวกรอง การพึ่งพา EndRAT ในฐานะกลไกควบคุมหลักตอกย้ำบทบาทของมันในฐานะเครื่องมือสำคัญในการปฏิบัติการจารกรรมทางไซเบอร์สมัยใหม่ ซึ่งช่วยให้สามารถเข้าถึงข้อมูล ขโมยข้อมูล และขยายเครือข่ายการติดเชื้อได้อย่างต่อเนื่องในเครือข่ายที่เชื่อถือได้

มาแรง

Tarwils.com

เว็บไซต์อันธพาล, แอดแวร์
Tarwils.com คือ URL ที่เชื่อมโยงกับเว็บเพจหลอกลวงซึ่งใช้กลวิธีที่ผิดจรรยาบรรณ เป้าหมายหลักคือการส่งเสริมกลยุทธ์และการส่งการแจ้งเตือนเบราว์เซอร์ที่รุกรานไปยังผู้ใช้ นอกจากนี้...

สตีลเลอร์ SHub

มัลแวร์ Mac, นักขโมย
SHub เป็นมัลแวร์ขโมยข้อมูลที่ซับซ้อนซึ่งออกแบบมาโดยเฉพาะเพื่อโจมตีระบบ macOS เป้าหมายหลักคือการดึงข้อมูลสำคัญจากเบราว์เซอร์ กระเป๋าเงินคริปโตเคอร์เรนซี และส่วนประกอบต่างๆ ของระบบ...

Beringlousnet.com

เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
การใช้ความระมัดระวังขณะท่องเว็บไม่ใช่เรื่องที่เลือกได้อีกต่อไป แต่เป็นสิ่งจำเป็น อาชญากรไซเบอร์พัฒนาเทคนิคหลอกลวงอย่างต่อเนื่องเพื่อเอาเปรียบผู้ใช้ที่ไม่ระมัดระวัง...

เข้าชมมากที่สุด

เอพอนเนอร์ดอทคอม

ปัญหา
23,289
อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
21,833
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...